[发明专利]一种基于DNS学习的应用识别方法及系统

权利要求书

1.一种基于DNS学习的应用识别方法，其特征在于，包括：

获取流量报文；

根据识别模型库中的识别模型匹配所述流量报文；所述识别模型库中包括多个识别模型并至少包括应用首包识别模型；

根据匹配结果，确定所述流量报文的应用识别结果；

如果所述流量报文包含DNS报文，在预先建立的DNS学习表项中匹配查询所述DNS报文包含的域名信息；

如果在所述DNS学习表项中匹配到所述DNS报文包含的域名信息，根据所述DNS报文包含的该域名信息对应的服务器IP地址信息，以及所述域名信息在DNS学习表项中对应的传输层协议和端口信息，生成符合所述应用首包识别模型的识别规则；

将新生成的识别规则添加至所述应用首包识别模型。

2.根据权利要求1所述的应用识别方法，其特征在于，在获取流量报文前建立DNS学习表项，具体包括：

创建应用特征库文件；

根据应用行为分析器采集的DNS流量数据，记录应用所使用的域名信息、传输层协议以及端口信息；

根据所述域名信息、传输层协议以及端口信息生成识别特征和应用ID；

将所述识别特征和应用ID写入所述应用特征库文件。

3.根据权利要求2所述的应用识别方法，其特征在于，所述方法还包括：

加载所述应用特征库文件；

对所述应用特征库文件进行合法校验和解压存储；

解析所述应用特征库文件，以及通过ACBM算法存储编译，获得DNS学习表项。

4.根据权利要求1所述的应用识别方法，其特征在于，所述识别模型库还包括固定端口识别模型，根据识别模型库中的识别模型匹配所述流量报文的步骤，包括：

解析所述流量报文，获得所述服务器IP地址信息、端口信息以及传输层协议；

根据所述端口信息，在所述固定端口识别模型中匹配所述流量报文；

如果所述流量报文命中所述固定端口识别模型中的任一应用ID，提取命中的应用ID，输出应用识别结果；

如果所述流量报文未命中所述固定端口识别模型中的应用ID，根据所述服务器IP地址信息、端口信息和传输层协议，在所述应用首包识别模型中匹配所述流量报文。

5.根据权利要求1所述的应用识别方法，其特征在于，所述识别模型库还包括DPI深度检测识别模型，根据识别模型库中的识别模型匹配所述流量报文的步骤，包括：

解析所述流量报文，获得负载信息；

根据所述负载信息，在所述DPI深度检测识别模型中匹配所述流量报文；

如果所述流量报文命中所述DPI深度检测识别模型中的任一应用ID，提取命中的应用ID，输出应用识别结果。

6.根据权利要求1所述的应用识别方法，其特征在于，所述方法还包括：

获取所述应用首包识别模型中包含的识别规则的数量；

如果所述识别规则的数量大于或等于预设规则限制值，遍历所述应用首包识别模型中每个所述识别规则的调用频率和/或最近调用时间；

删除调用频率低于预设活跃值的所述识别规则，或者，删除最近调用时间长于预设活跃时间的所述识别规则。

7.一种基于DNS学习的应用识别系统，其特征在于，包括相互建立通信连接的：应用行为分析器、应用识别分析器、DNS学习采集器和管控器；所述应用识别分析器、DNS学习采集器和管控器内置在上网行为管理设备中，以通过所述上网行为管理设备串行接入需要进行应用识别的网络边缘；

所述应用行为分析器被配置为：加载应用特征库，以获得DNS学习表项，以及将识别模型库加载到所述应用识别分析器，所述识别模型库中包括多个识别模型，并至少包括应用首包识别模型；

所述应用识别分析器被配置为：获取流量报文；以及，根据识别模型库中的识别模型匹配所述流量报文；根据匹配结果，确定所述流量报文的应用识别结果；

所述DNS学习采集器被配置为：如果所述流量报文包含DNS报文，在预先建立的所述DNS学习表项中匹配查询所述DNS报文包含的域名信息；如果在所述DNS学习表项中匹配到所述DNS报文包含的域名信息，根据所述DNS报文包含的该域名信息对应的服务器IP地址信息，以及所述域名信息在DNS学习表项中对应的传输层协议和端口信息，生成符合所述应用首包识别模型的识别规则；将新生成的识别规则添加至所述应用首包识别模型；

所述管控器被配置为：根据应用识别结果，对所述流量报文对应的数据流进行放行或阻断。